Qué tan seguro está su negocio en la nube
El panorama digital moderno de las infraestructuras de TI utilizadas por las pequeñas, medianas y grandes empresas puede caracterizarse por un profundo aumento de las tecnologías avanzadas que han ayudado a las empresas a aumentar la eficiencia, la productividad, la creatividad y la automatización.
La tecnología de la información (TI) ha ayudado en gran medida a las empresas a crear nuevos modelos comerciales e implementar estrategias corporativas que han aumentado el crecimiento comercial y beneficiado el resultado final.
Sin embargo, a medida que la tecnología ha evolucionado rápidamente en las últimas décadas, han surgido nuevas oportunidades para que las empresas aprovechen aún más los sistemas de TI avanzados para crecer más y minimizar los gastos generales.
Uno de esos avances tecnológicos que se ha convertido en un eslogan entre las empresas es la nube. Si bien los sistemas en la nube existían en 1999 y se mencionaron en documentos alrededor de 1996, los principales avances en los sistemas en la nube han atraído a ejecutivos de la empresa y miembros de la junta/partes interesadas por igual a la nube. Muchas empresas se han mostrado reacias a adoptar la nueva tecnología, mientras que otras han reorganizado con entusiasmo la infraestructura de TI de su empresa para adaptarse a sistemas de nube externos, como sistemas de nubes múltiples, sistemas de nube híbrida y/o sistemas de nube pública.
La adopción de sistemas en la nube ha aumentado considerablemente a lo largo de los años. Según varios informes, encuestas y estudios de casos clave, la adopción de sistemas en la nube entre las empresas comerciales es ahora por encima del 90 por ciento. Un Intel crítico Estudio de seguridad/McAfee que involucró a 1400 profesionales de TI asociados con la adopción y la seguridad de la nube mostró que el 93 % de las organizaciones utilizan sistemas en la nube, con una gran caída en la utilización de sistemas de nube privada (51 % a 24 %) y un gran aumento en el uso de la nube híbrida (19 a 57 por ciento), entre los años 2015 y 2016 ("Generando confianza en un cielo nublado: el estado de la adopción y seguridad de la nube, 2016").
Adicionalmente, según el mismo Seguridad Intel (McAfee), el crecimiento de las soluciones en la nube entre las empresas está creciendo, de modo que el 80 por ciento de los presupuestos de TI de la organización se aplicaron a soluciones en la nube en un período de 15 meses (2016).
- ¿Es la nube adecuada para su empresa?
- ¿Qué es la nube de todos modos?
- Tipos de procesos comerciales realizados en la nube
- El uso de la nube por parte de empresas regulares y empresas tecnológicas es diferente
- Usos comerciales comunes para la nube
- ¿Qué tan segura es la nube para uso comercial general?
- La nube puede ofrecer más seguridad que cualquier otra cosa
¿Es la nube adecuada para su empresa?
Hay varias razones por las que muchas empresas son reacias a adoptar soluciones en la nube en lugar de alojar centros de datos y servidores privados administrados y controlados internamente. Por lo general, la falta de comprensión, junto con ciertos mitos y percepciones erróneas sobre la seguridad en la nube, ha dado lugar a que varias organizaciones se nieguen a utilizar soluciones en la nube en lugar de soluciones empresariales internas.
Además, según el estudio Intel Security, el 49 % de los profesionales de TI retrasó la utilización y adopción de soluciones en la nube debido a la falta de profesionales de seguridad en la nube dentro de su organización que posean el conjunto de habilidades necesarias para garantizar la seguridad completa de los datos. El estudio anterior también indicó que las soluciones en la nube a menudo se consideran "TI en la sombra", debido al uso de servidores y sistemas en la nube externos que los equipos internos de TI no pueden controlar ni administrar. Esta incapacidad para administrar la seguridad de la nube ha dado como resultado que el 40 % de las soluciones de nube pública se adquieran fuera de TI, con menos de la mitad (47 %) de la solución de nube visible para los equipos de TI. Con este fin, el 67 por ciento de los profesionales de TI cree que tales sistemas de TI en la sombra comprometerán la seguridad.
El estudio también indicó que el 74 por ciento de las organizaciones han adoptado el uso de sistemas de nube pública para el almacenamiento de datos privados/confidenciales. Si bien el estudio de McAfee indicó que ha habido algunas estadísticas importantes de brechas de seguridad en la nube asociadas con las soluciones públicas de software como servicio (SaaS), específicamente, una probabilidad del 52 por ciento de ser infectado con malware, y Las principales brechas en la nube han aparecido en los titulares varias veces (incluidas las infracciones de Microsoft, Dropbox, LinkedIn, Home Depot, etc.), otros estudios indican que los entornos empresariales locales son atacados y explotados con más frecuencia que los servicios de alojamiento externo, como un servicio de alojamiento en la nube.
Específicamente, el informe Alert Logic State of Cloud Security Report indicó que un promedio de 61,4 ataques cibernéticos maliciosos afectaron los entornos de TI locales, mientras que solo 27,8 ataques afectaron los entornos de proveedores de servicios/alojamiento (" Informe sobre el estado de la seguridad en la nube ”). Si bien las principales iniciativas de seguridad en la nube, como Cloud Security Alliance (CSA), han declarado que la responsabilidad de proteger los sistemas en la nube recae en el cliente (con respecto al control de acceso, el secuestro de cuentas, las violaciones de datos, los infiltrados maliciosos, etc.), en última instancia, uno de los mitos más frecuentes vinculados con los temores asociados con la adopción de soluciones en la nube es que hay menos control y gestión directa sobre la nube. es igual a menos seguridad.
Al final, las personas son el eslabón más débil con respecto a cualquier sistema de seguridad de datos, por lo que factores como la forma en que los clientes almacenan los datos privados y cómo los clientes utilizan los sistemas en la nube crean los mayores riesgos de seguridad con las soluciones en la nube. Significativamente, dichos riesgos suelen existir en igual medida cuando las empresas utilizan centros de datos y servidores internos pero no adoptan las mejores prácticas de seguridad en el lugar de trabajo. Por lo tanto, comprender la nube es uno de los pasos más críticos que los ejecutivos de las empresas pueden tomar para temerle menos.
¿Qué es la nube de todos modos?
Los sistemas en la nube, en los términos más simples, son un ecosistema global de hosts conectados remotamente, es decir, Internet. En un contexto comercial, los sistemas informáticos y de almacenamiento en la nube implican una red de sistemas/hosts de TI que existen externamente a la infraestructura de TI de una empresa, lo que puede permitir la reducción de los requisitos generales y de personal con respecto a partes del mantenimiento, configuración, aplicación de parches y mantenimiento del sistema en la nube. seguridad. Dado que una parte de los servicios antes mencionados son realizados por el proveedor de servicios, esto permite a las empresas dirigir sus recursos, mano de obra y atención a actividades comerciales importantes, mientras se enfocan menos en el mantenimiento y conservación.
Originalmente, los servidores empresariales dentro de las corporaciones requerían software/sistemas operativos interdependientes sobre los cuales se instalaría el software del servidor empresarial para que lo usaran los equipos corporativos internos. Esto significaba que si el servidor de hardware o el sistema operativo fallaban, el uso de las aplicaciones del servidor sería imposible hasta que se resolviera el problema crítico. La llegada de los sistemas en la nube (que utilizan la virtualización como uno de sus componentes principales) permitió la ejecución de aplicaciones y los servicios de almacenamiento de forma remota a través de Internet, lo que permitió a las empresas aprovechar una gran cantidad de recursos informáticos a través de Internet.
Por lo general, los sistemas de nube vienen en muchas variedades, incluidos los sistemas de nube pública, los sistemas de nube privada, los sistemas de nube híbrida, los sistemas de nubes múltiples, etc. Los sistemas de nube pública son sistemas que están abiertos al público y pueden ser utilizados por cualquier número de clientes y incluir los dos servicios en la nube principales mencionados anteriormente (almacenamiento de datos y ejecución de aplicaciones). Los sistemas de nube privada están cerrados y son alojados internamente por una empresa a través de una red (interna) alojada de forma privada y, por lo tanto, son administrados por equipos de TI internos. Los sistemas de nube híbrida son una combinación de sistemas de nube privada y pública, mientras que los sistemas de múltiples nubes son una combinación de múltiples sistemas de nube externos que se integran en una única arquitectura corporativa.
Además, los sistemas en la nube están disponibles bajo una variedad de modelos arquitectónicos, que incluyen software como servicio (SaaS), infraestructura como servicio (IaaS) y plataforma como servicio (Paas).
Los servidores físicos aún almacenan todos los datos
Cuando se trata de comprender la tecnología detrás de las soluciones de nube externa, es importante tener en cuenta que, al igual que con los centros de datos/hosts internos, todos los datos aún existen dentro de los servidores físicos en algún lugar.
Mientras que las nubes privadas y los centros de datos internos tienen datos existentes dentro de los servidores en una oficina corporativa o centro de datos, las soluciones de nube externa potencialmente albergan los mismos datos dentro de los servidores y centros de datos en una ubicación externa. Si bien los ejecutivos de la empresa pueden preocuparse por la seguridad de alojar datos en centros de datos externos, es importante recordar que, en lo que respecta a la seguridad, cualquier servidor al que se pueda acceder desde el exterior (externamente), que suele ser el caso de privado, los centros de datos internos, así como con los centros de nube externos, tiene el potencial de sufrir una violación de datos, pero los centros de nube externos no necesariamente tienen más superficies de ataque que los centros de datos internos.
Esto es especialmente cierto con los centros de datos internos que están conectados a Internet pública, ya sea a través de servidores web (por ejemplo, un sitio web de la empresa) o a través de redes seguras que permiten que el personal que viaja acceda a los servidores corporativos de back-end (a menudo a través de una VPN).
Realización de Procesos de Tareas Vía Internet a través de Estos Servidores
Una de las principales diferencias entre los centros de datos internos y las soluciones de nube externa es el hecho de que los centros de nube externos funcionan como hosts remotos o, más bien, como servidores a los que se accede a través de una red. Por lo tanto, mientras que los centros de datos corporativos internos están en una intranet interna (a la que se accede a través de una red de área local), se accede a los servidores de nube externos a través de Internet.
Por lo tanto, se requiere una conexión a Internet para aprovechar el poder de los sistemas de nube externos, que permiten que las tareas y los procesos comerciales se completen en consecuencia a través de la Internet pública. Esto generalmente requiere una buena conexión a Internet con capacidades de ancho de banda muy altas.
Tipos de procesos comerciales realizados en la nube
Dado que los sistemas en la nube son esencialmente servidores externos, las empresas pueden utilizar sistemas en la nube externos para una variedad de tareas que anteriormente se realizaban a través de servidores alojados internamente. Esto incluye:
- Almacenamiento de datos (almacenamiento en la nube): los sistemas en la nube a menudo se utilizan para almacenar datos comerciales privados/confidenciales, incluidos informes, auditorías, documentos, información contable y mucho más.
- Ejecución de aplicaciones (computación en la nube): los sistemas en la nube a menudo se utilizan para ejecutar aplicaciones de forma remota a través de una conexión de red, lo que mitiga la necesidad de instalar software empresarial. Dichos sistemas a menudo están vinculados con sistemas de almacenamiento en la nube para permitir que las empresas guarden sus datos corporativos y las tareas asociadas con las aplicaciones de computación en la nube.
Además, una gran cantidad de otras aplicaciones avanzadas son posibles a través de sistemas de nube externos, como la sincronización de datos en plataformas y dispositivos comerciales completos, aplicaciones avanzadas de Internet de las cosas, mayor escalabilidad, análisis de Big Data, procedimientos de recuperación de desastres, pruebas y desarrollo, uso compartido de archivos, copias de seguridad de datos de la empresa, y mucho más.
El uso de la nube por parte de empresas regulares y empresas tecnológicas es diferente
La utilización de servicios en la nube dentro del ecosistema de las empresas corporativas generalmente implica la sustitución de servidores y centros de datos administrados internamente con una infraestructura de nube híbrida o sistemas públicos o de múltiples nubes. Sin embargo, las diferentes industrias suelen usar soluciones en la nube de diferentes maneras, de modo que existe una división clara entre cómo una empresa normal puede usar los servicios en la nube versus una empresa de tecnología o ingeniería.
Es estándar para una PYME normal, no tecnológica, o una empresa más grande, usar servicios en la nube como sistemas externos que esencialmente reemplazan los servidores internos, lo que generalmente significa usar tales soluciones en la nube para almacenamiento de datos, gestión de datos, procesamiento de datos, análisis de datos, etc. Por el contrario, las empresas de tecnología suelen utilizar soluciones en la nube como servidores externos que ejecutan aplicaciones y sistemas de software críticos.
Dicho esto, las soluciones corporativas en la nube a menudo están disponibles para las empresas como uno de los tres tipos de paquetes diferentes: Software como servicio, Infraestructura como servicio o Plataforma como servicio. Cada modelo tiene sus pros y sus contras con respecto a tipos de negocios específicos.
Modelos de software como servicio (SaaS)
El software como servicio (Saas) es la solución en la nube más utilizada entre todas las formas de empresas en la actualidad. El modelo SaaS, en pocas palabras, es la entrega de aplicaciones/servicios de almacenamiento en la nube, desde un sistema de servidor en la nube externo, a una empresa a través de Internet.
A menudo, estas soluciones en la nube no requieren ninguna instalación de software en hosts locales, ya que un navegador web suele ser el vehículo de entrega. La entrega de aplicaciones en la nube a una empresa (a través de Internet) a través de la computación en la nube es paralela al hospedaje y la ejecución de aplicaciones web. Sin embargo, dichas aplicaciones en la nube se implementan desde servidores externos a través de Internet y no se administran localmente.
Por lo tanto, es importante tener en cuenta que con las soluciones SaaS, el proveedor administra la aplicación, los datos, el tiempo de ejecución, el middleware, la virtualización, el sistema operativo, los servidores, el almacenamiento y las redes. La falta de la gestión necesaria hace que los modelos SaaS merezcan la pena para muchas empresas que no quieren (o no tienen la capacidad) de utilizar mano de obra o gastos generales adicionales para gestionar, mantener y parchear el sistema en la nube que aloja los servicios SaaS. Algunos ejemplos de soluciones SaaS son Google Apps, Microsoft Cloud, Dropbox, etc.
Infraestructura como servicio (IaaS)
La infraestructura como servicio (IaaS) es una solución utilizada por las empresas para probar, administrar y/o ejecutar sistemas de software que requieren computación escalable, administración de autoservicio y recursos informáticos automatizados.
Con los modelos IaaS, la empresa dispone de múltiples recursos informáticos básicos a través de un tablero o API, lo que permite a una empresa aprovechar un sistema de nube escalable para redes, operaciones, análisis de datos, pruebas y más, todo a través de la virtualización. Como modelos altamente flexibles, potentes y escalables, las soluciones IaaS también brindan a las empresas un poder casi completo para administrar sus recursos informáticos. Algunos ejemplos de IaaS incluyen Microsoft Azure y Amazon Web Services.
Plataformas como servicio (PaaS)
La plataforma como servicio (PaaS) es un modelo que permite que un entorno de desarrollo se aloje de forma remota en un sistema en la nube, lo que permite que una empresa utilice un sistema potente para la creación e implementación de software. Dichas plataformas en la nube brindan muchas ventajas sobre la utilización de plataformas locales para el desarrollo o la implementación, como la administración del almacenamiento (de datos), servicios, servidores, redes y aplicaciones asociadas con el sistema de computación en la nube, sin tener que parchear, actualizar, mejorar o instalar cualquier cosa asociada con el sistema. Debido al uso de la virtualización, dichos sistemas de desarrollo/implementación en la nube también son altamente escalables, sin necesidad de que el personal comercial los mantenga.
Usos comerciales comunes para la nube
Las soluciones en la nube, independientemente del modelo utilizado, pueden ser utilizadas por las empresas para una gran variedad de propósitos. Si bien los servidores en la nube externos (públicos) a menudo se usan simplemente para reemplazar los servidores empresariales internos, los sistemas en la nube son capaces de hacer mucho más. Sin embargo, dos usos principales de los sistemas en la nube son el almacenamiento en la nube y la computación en la nube.
Almacenamiento en la nube para empresas
Uno de los primeros y más críticos usos corporativos (y comerciales) de los sistemas en la nube como almacenamiento en la nube. Con la llegada de servidores de almacenamiento de datos más grandes y capacidades de Internet más rápidas, los centros de almacenamiento de datos pasaron de ser sistemas internos a ser alojados y administrados de forma remota a través de Internet. Este cambio fue exitoso en gran parte debido a las ventajas de tener centros de almacenamiento de datos escalables y de mayor capacidad disponibles en todo momento con la capacidad de sincronizar y compartir dichos datos sin problemas entre dispositivos y partes.
Cubre las necesidades de intercambio de datos de la fuerza laboral
Los centros en la nube (almacenamiento de datos) permiten a las entidades comerciales compartir datos sin problemas con otras partes sin tener que descargar los datos y enviarlos manualmente desde una máquina local. Esto implica que los sistemas de red internos (intranets) ya no son necesarios para una comunicación interdepartamental efectiva, o para la comunicación corporativa con socios comerciales, etc. Esto se debe a que los sistemas de comunicación interna se reemplazan esencialmente por los servicios de la plataforma en línea (en la nube).
Proporciona acceso a los archivos de datos de la empresa en cualquier lugar
Además de la ventaja anterior (intercambio de datos), uno de los mecanismos más significativos e importantes que brindan los sistemas de almacenamiento en la nube es la sincronización de datos entre todos los dispositivos conectados a Internet que están autorizados para acceder al sistema. Esto significa que las empresas que emplean trabajadores remotos y/o ejecutivos que están fuera de la oficina pueden completar y actualizar el trabajo, obtener (sincronizar) informes completos o documentos/archivos requeridos, y almacenar datos esenciales en los centros de almacenamiento en la nube. desde cualquier lugar que brinde la posibilidad de conectarse a Internet.
Computación en la nube para empresas
La segunda función más crítica que brindan las soluciones en la nube es la computación en la nube. La computación en la nube permite a las empresas aprovechar Internet y, por lo general, un navegador web, para ejecutar aplicaciones sin tener que instalar nada en las máquinas locales. Esencialmente, la computación en la nube es la ejecución de software desde servidores en la nube alojados de forma remota a través de Internet. Esto brinda a las empresas la oportunidad de reemplazar servidores internos, o instancias localizadas de software, con la utilización de sistemas en la nube, que normalmente no requieren mantenimiento, aplicación de parches o actualización por parte del cliente.
Para empresas que ejecutan su propio software personalizado
El uso de un modelo como IaaS, que ofrece la mayor flexibilidad y potencia, junto con capacidades de administración, o PaaS, que ejecuta y administra (junto con el desarrollo) software patentado personalizado, permite que una empresa aproveche recursos informáticos potentes, escalables y automatizados en todo un empresa de manera eficiente, todo a través de la nube. Utilizar la nube de esta manera tiene ventajas sobre la ejecución local de dicho software, como el hecho de que dichos sistemas en la nube no requieren mantenimiento por parte del cliente. Además, dichos sistemas en la nube permiten pruebas e implementación más sencillas de software personalizado, mientras que también brindan la capacidad de aprovechar basado en la nube virtualización.
¿Qué tan segura es la nube para uso comercial general?
Antes de adoptar cualquier modelo de sistema en la nube para uso corporativo, quizás la pregunta más importante que cualquier ejecutivo de la empresa haría, y desearía que se le respondiera, es qué tan seguras son las soluciones en la nube. La utilización de sistemas en la nube externos que albergan datos confidenciales y que son necesarios para las actividades comerciales principales, y que los equipos de TI no pueden administrar o interactuar directamente, incomoda a muchos ejecutivos de negocios.
Si bien abundan los mitos sobre la seguridad de los sistemas en la nube, está claro que los ataques cibernéticos, las violaciones de datos y los robos de datos están aumentando, por lo que lograr la seguridad completa de los datos debe ser uno de los objetivos principales de cualquier empresa. Dicho esto, generalmente se cree que la incapacidad de controlar todos los aspectos de un sistema equivale a, o da como resultado, una falta de seguridad. También se suele creer que el proveedor de la solución en la nube es responsable de todos los aspectos de la seguridad de un sistema en la nube.
Para los primeros, control no es igual a seguridad. El diseño de los sistemas de hardware y software, junto con los clientes que utilizan las mejores prácticas de seguridad para acceder al sistema en la nube, es más importante que la administración diaria (más directa) de los servidores por parte del personal interno (como la forma en que los equipos de TI administrarían servidores internos). Para este último, es responsabilidad de los clientes utilizar las mejores prácticas de seguridad al acceder a sistemas seguros en la nube.
Cada negocio requiere diferentes niveles de seguridad
También es importante tener en cuenta que cuando se trata de cuestiones de cumplimiento, los sistemas en la nube que albergan datos confidenciales y/o se utilizan para el procesamiento de datos privados de clientes deben ser seguros de acuerdo con la legislación de EE. UU. En concreto, las empresas deben llevar a cabo la debida diligencia para garantizar la completa seguridad de los datos. Es importante que los ejecutivos de la empresa entiendan que las industrias específicas deben cumplir con un conjunto particular de leyes para cumplir con la legislación estadounidense.
Requisitos de cumplimiento específicos de la industria
Ciertas industrias deben cumplir con un conjunto específico de leyes de EE. UU, incluida la industria médica/salud, la industria financiera, la industria educativa, todos los sitios web de comercio electrónico, etc, de acuerdo con lo siguiente:
- HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico): HIPAA es una regulación que estipula una variedad de reglas con respecto al manejo seguro de la información confidencial del paciente (incluidos datos/registros electrónicos), con respecto a todas las organizaciones y empresas de salud.
- Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA): FISMA es una ley que se aplica a todas las agencias federales en los EE. UU. y estipula que se debe garantizar la seguridad completa de los datos para proteger la seguridad nacional.
- Ley Gramm Leach Bliley (GLBA): GLBA, entre otras cosas, estipula que las instituciones financieras deben llevar a cabo la debida diligencia para proteger los datos de sus clientes y clientes.
- Ley de Privacidad y Derechos Educativos de la Familia (FERPA): FERPA se aplica a las organizaciones/escuelas educativas y estipula que dichas instituciones deben proteger los datos educativos de sus estudiantes.
- Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS): PCI-DSS se aplica a todas las empresas de comercio electrónico que manejan tarjetas de crédito/débito de clientes, y estipula (a través de 12 regulaciones) que se debe llevar a cabo la debida diligencia para proteger dicha información confidencial del cliente, generalmente con respecto a transacciones a través de Internet (a través de sitios web, etc).
Los productos en la nube son esencialmente solo servidores de acceso remoto
Para que los ejecutivos de la empresa adopten la solución en la nube más efectiva para su empresa, y comprendan sus responsabilidades asociadas con garantizar que sus datos (en la nube) estén seguros, es útil considerar las aplicaciones en la nube como aplicaciones alojadas remotamente y los sistemas en la nube como servidores empresariales de acceso remoto. Por lo tanto, las mejores prácticas de seguridad asociadas con el acceso a servidores remotos deben aplicarse a los sistemas en la nube.
La conexión del servidor de datos de usuario determina la seguridad
Desde el punto de vista de la seguridad, cuando se trata de las principales superficies de ataque, acceder a un servidor remoto significa que hay un punto de ataque principal que debe protegerse: la conexión entre el usuario y el servidor de datos. Si bien los ataques de denegación de servicio (DoS) y DDoS pueden paralizar un servidor, y el malware puede atacar varios sistemas en la nube, los clientes que usan sistemas en la nube deben asegurarse de que se implementen los mecanismos de control de acceso adecuados (incluida la autenticación, la autorización, etc.), y que la conexión a los servidores en la nube esté completamente encriptada con sistemas de encriptación estándar de la industria. Además, ataques como Ataques de hombre en el medio (MitM) debe mitigarse para garantizar la seguridad completa de los datos. Esencialmente, al igual que una intranet corporativa interna (red de área local) debe protegerse cuando se utilizan servidores en el sitio, también debe protegerse el sistema de red que conecta una empresa con un sistema en la nube, a través de Internet.
Los proveedores de almacenamiento de computación en la nube deben ser seguros
Los servidores en la nube pueden ser víctimas de ataques tradicionales, como ataques DoS y DDoS, y ataques de malware paralizantes. Por lo tanto, no es completamente responsabilidad del cliente garantizar la seguridad de los datos de los sistemas en la nube; también es responsabilidad del proveedor que proporciona el sistema en la nube.
Las responsabilidades del proveedor de la nube para proteger sus sistemas deben describirse en su política de seguridad, ya que esencialmente todo su modelo comercial se basa en tener sistemas seguros. Al igual que con cualquier empresa, los proveedores de la nube normalmente diseñarán y fortalecerán sus sistemas en la nube antes de vender sus servicios; si sus sistemas en la nube no fueran seguros, entonces no podrían obtener y mantener a los clientes. Sin embargo, esto no significa que todos los proveedores de la nube sean una opción segura, ya que el mejor proveedor se asegurará de que siempre se lleven a cabo las mejores prácticas de seguridad.
Tienen a su disposición mayores recursos de seguridad
Según un estudio del Sans Security Institute, entre 2014 y 2016, la mayoría de las empresas tenían un presupuesto de TI de entre 500 000 y 1 000 000 USD, y la seguridad representaba entre el cuatro y el nueve por ciento de ese presupuesto. Esto equivale a $ 45,000-90,000 USD para el presupuesto de seguridad, en promedio. Si bien estos números indican que las empresas solo tienen una cantidad mínima de recursos para aplicar a la seguridad de su infraestructura local, los grandes proveedores de la nube a menudo tienen presupuestos más grandes (es decir, miles de millones de dólares) para garantizar que sus sistemas en la nube sean completamente seguros.
Equipos de seguridad dedicados
Los proveedores de la nube a menudo cuentan con personal de seguridad capacitado y dedicado equipado con las habilidades, el conocimiento y la experiencia necesarios para garantizar que sus sistemas en la nube se mantengan, parcheen y sean seguros. Dichos equipos también suelen estar equipados con el conjunto de habilidades que se requiere para instalar con éxito basado en la nube controles de seguridad, como firewalls de última generación y sistemas de detección de intrusos (IDS)/sistemas de prevención de intrusos (IPS) en la nube.
Consultoría especializada en seguridad
Los proveedores de la nube a menudo aprovechan a los especialistas en el ámbito de la ciberseguridad para garantizar que sus sistemas en la nube sean completamente seguros. Dichos especialistas incluyen piratas informáticos éticos, piratas informáticos de sombrero blanco, evaluadores de penetración, etc. que buscan activamente penetrar en las redes y sistemas asociados con las soluciones en la nube de un proveedor. Tales metodologías de piratería, que son empleadas por piratas informáticos éticos, se componen de pruebas activas que buscan explotar las debilidades (vulnerabilidades) en una infraestructura de TI y, junto con exploraciones de vulnerabilidades pasivas, pueden ayudar a revelar cualquier debilidad en una red en la nube antes de que los ciberdelincuentes las encuentren. debilidades y explotarlas. Tales consultorías de piratería ética a menudo las realizan especialistas subcontratados y pueden dar como resultado que los sistemas en la nube se parchen y refuercen, lo que garantiza su seguridad.
Programas de recompensas por errores
Las convocatorias abiertas para hackers éticos a menudo son realizadas por empresas que buscan atraer consultores talentosos que emplean una variedad de vectores de ataque. Esto puede ayudar a garantizar que los sistemas en la nube estén reforzados contra una gran variedad de tipos de ataques diferentes. Tales llamadas abiertas, o programas de recompensas por errores, incluyen programas conocidos como Multitud de insectos y hackeruno, entre otros.
La nube puede ofrecer más seguridad que cualquier otra cosa
Los sistemas en la nube son como cualquier otro servidor o sistema de red: no pueden reforzarse al 100 % y, por lo tanto, volverse completamente inmunes a los ataques cibernéticos. Sin embargo, según el hardware, el software, el diseño y los procedimientos del cliente, junto con la política de seguridad del proveedor de la nube, los sistemas en la nube pueden ser tan seguros, si no más, que los servidores y centros de datos internos. Los sistemas en la nube generalmente son administrados por equipos de seguridad más especializados y, a menudo, reciben un mayor presupuesto para garantizar la seguridad de sus datos.
Además, aunque los servidores internos requieren parches y trabajos de mantenimiento por parte del personal interno, lo que crea la posibilidad de que los sistemas se queden sin parches – Los sistemas en la nube generalmente se actualizan periódicamente y los proveedores de la nube los actualizan, actualizan y mantienen, lo que reduce el riesgo de que se produzcan costosas filtraciones de datos. En última instancia, el uso de mejores prácticas de seguridad y controles de seguridad puede ayudar a mitigar incluso los ataques cibernéticos en la nube más fuertes y dañinos, lo que hace que los sistemas en la nube sean potencialmente más seguros que los servidores y centros de datos internos.
Si quieres conocer otros artículos parecidos a Qué tan seguro está su negocio en la nube puedes visitar la categoría Seguridad.
Entradas Relacionadas 👇👇